Imaginez que vous arrivez le matin à votre travail, et en vous connectant sur Slack, ou Google Drive, ou Gmail, vous vous retrouvez à utiliser le compte de quelqu’un qui travaille pour l’Elysée, ou Total … C’est ce qui est arrivé à un employé de la BBC en se connectant à l’application Huddle, se retrouvant avec un accès total à des fichiers sensibles de la société KPMG.
Huddle est une application professionnelle utilisée pour envoyer des documents, gérer un agenda, et même en tant que messagerie. Réputée ultra sécurisée, elle est utilisée par les services de santé publiques en Angleterre, mais aussi le Bureau du Cabinet (Cabinet Office), et d’autres institutions gouvernementales ou royales du Royaume-Uni. Tant les clients sont importants et s’échangent des données sensibles, cette ‘faille’ aurait pu être bien plus grave.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Capture d’écran prise par l’employé de la BBC
Dans une déclaration, Huddle se veut rassurant en précisant qu’il ne s’agit que de six sessions individuelles entre mars et novembre 2017. Rapporté au total de sessions, cela fait 6 personnes pour presque 5 millions de connections.
Néanmoins, si un employé de la BBC a été connecté sur l’interface dédiée à KPMG, Huddle a déclaré qu’un tiers avait eu accès à l’un des comptes de la BBC. Cette personne a accédé aux fichiers du programme pour enfant Hetty Feather, sans pour autant en ouvrir un seul.
Huddle a détaillé à la BBC le mécanisme de cet accès. Lorsque quelqu’un se connecte à l’application, il reçoit un code d’authentification pour valider sa connexion. Si deux personnes tentent de se connecter en même temps sur un laps de temps de 20 millisecondes, elles se retrouvent connectées ensuite sur la session de la personne qui a voulu accéder à son compte en premier.
« Nous souhaitons clarifier le fait que ce bug a été corrigé, et que nous travaillons pour nous assurer qu’un tel scénario de ne reproduise pas, » a assuré la société à la BBC.
Pour ce qui de l’accès à la session par un tiers, on n’en sait malheureusement pas plus. Cet accès aurait pu déboucher à des conséquences plus graves, et possible qu’un hacker dépose un fichier permettant d’accéder à encore plus de sessions … On aurait pu se rapprocher de la récente fuite de données qui s’est déroulée chez Deloitte.